踩了无数个坑，文章的逻辑会很混乱 后面重新整理后会再写一篇去坑版

域控情况

dc：win2008server 仅主机模式
域内机：win7（双网卡） 与域控机连接的网卡是仅主机模式，与物理机连接的是桥接模式
要求三台机子能互相ping通
流程：webshell - > 主机shell -> 上传cs的马到win7 保持权限 -> 拿到域控win2008server信息 ->利用漏洞拿下域控
物理机配置情况：

win7配置情况：



win2008server配置情况：

配置完毕 域搭建完毕

一句话木马

win7上搭建phpstudy，连接蚁剑（蚁剑在物理机上）
https://blog.csdn.net/m0_64417923/article/details/124850339
首先将win7上的phpstudy打开（否则连不上哦）

然后打开根目录：

2.php为测试，1.php为一句话木马

由于主机和虚拟机能ping通，因此可以通过主机访问虚拟机中的一句话木马：


能连通，接下来物理机打开蚁剑进行连接：

进入虚拟终端

打开冰蝎


将该shell上传到蚁剑，重命名一下：

测试是否上传成功

然后打开冰蝎，新增这条url

冰蝎巨卡无比，考虑是java版本问题https://www.bilibili.com/video/BV1Vh411X7oY/?spm_id_from=333.337.search-card.all.click&vd_source=b1952482f9648da71f0288af69cc3cd6
发现还是没用
生成一个cs马，通过冰蝎上传
cs使用linux作为服务器来启动teamserver，linux使用桥接模式
teamserver 服务器ip 密码

ｃｓ上线并提权

有的时候会报这个错 莫名其妙就是排查不出来，解决办法：使用vps启动cs
最后发现这个问题是由于kali自动分配ip分配成了跟win7一模一样的ip 导致报错

物理机打开cs，生成一个cs马：

将这个马通过蚁剑上传到win7上去：

然后右键interact，依次输入命令：checkin和sleep 1

右键-access-elevate提权：

cs4.5有些功能没有，切换4.8
https://blog.csdn.net/Sgirll/article/details/131865632

生成一个病毒之后上传到win7上，并执行上线
执行命令checkin、sleep 0、process_browser，将病毒注入一个进程

注入一个x86程序，选择http模式：

elevate提权到管理员权限

提权成功

cs添加插件教程：www.360doc.com/content/23/0301/06/77981587_1069910356.shtml


system权限后，很多文件夹都能看了

如果死活注不进去考虑切换成phpstudy2016
实战中最好sleep 30 实验环境可以sleep 0

这里提权到system失败了，卡了三天，换了cs4.4、4.5、4.8甚至换了插件，然后开始思考，为什么提权到administrator失败，登陆的时候好像只有chey一个用户，所以可能是administrator被锁定了，在计算机管理中取消账户禁用这个选项的时候会报一个神奇的错误：


在枯燥的查资料中发现管理员运行cmd输入以下命令给administrator设置一个密码后重启还是不可以解决这个问题：

卡了好几天之后发现是我用户不够，应该先登陆win7的普通用户，从普通用户到域普通用户，然后提权到域管理员用户
登录到win2008域控机中，添加一个域控普通用户：net user zhangsan Qwer123 /add
然后回到win7中，让他上线：

找一个x86进程注入，让病毒更稳定：

先退出域：

然后管理员运行cmd，运行命令net user 用户名 密码 /add
net user查看当前用户有哪些
接下来再次加入域：

使用提权还是遇到这个报错

另辟蹊径，先使用access-elevate-uactoken-duplication提权到管理员，然后使用access-elevate-avcexe提权到system权限
但是不稳定，做phd权限维持，首先将hashdump一下

然后system上右键-spawn一下，然后

右键-JUMP-psexec-

生成两个稳定的system*

然后登录到win7上的zhangsan账户，用管理员模式启动cmd
查看进程列表process-list

steal_token窃取token(能做到这步真不容易TAT)


查看别名：

此时拿到了hash就能飘到win7上

shell dir \WIN-FNCRU1L0SB9.test.locall\c$
hashdump 导的是当前机器的hash 现在的身份是>shell whoami(域管)
实战思路：现在做个代理在system*上右键-pivoting-sockets server

流量代理

代理起来后打开kali，进行代理配置 这里的ip是启动teamserver的机子的ip：

测试代理是否成功：
查看自己的80端口是否开启
ip改成127.0.0.1能成功 183.201是win7上的第二个网卡 代理能通说明第一层打通了 接下来做二层代理
输入GET /查看根目录内容

在win7中添加一个域用户，接下来在kali中找到impact文件夹


然后回到kali，继续做代理，这里的dxy是通过cs在win7上添加的，ip是windows2008域控机

这个报错大概率是因为没有先使用neo将流量代理出来
使用neoreg+proxychains在kali上做反向代理，通过win7这台机器打出来
neoreg使用命令：

扫描ｗｉｎ７上另一个网段存活主机，探测出10.10.10.4网段存活
修改代理/etc/proxychains4.conf 使用msf攻击10.4网段上的永恒之蓝漏洞
/etc/proxychains4.conf:

windows上使用neoreg+proxyfile做正向代理：

将10.10.10.*网段的流量都做正向代理：

使用中转让DC上线




本地文件上传

落地的文件

将zzDemo.exe上传到DC域机器上面


找到exe以后运行　域控机器上线

[课程]FART 脱壳王！加量不加价！FART作者讲授！